『PolySécure Podcast』のカバーアート

PolySécure Podcast

PolySécure Podcast

著者: Nicolas-Loïc Fortin et tous les collaborateurs
無料で聴く

Podcast francophone sur la cybersécurité. Pour professionels et curieux.CC BY-NC-ND 4.0
エピソード
  • Teknik - Panel nsec 2026 - Parce que... c'est l'épisode 0x30D!

    Teknik - Panel nsec 2026 - Parce que... c'est l'épisode 0x30D!
    2026/06/18
    Parce que… c’est l’épisode 0x30D! Shameless plug
    • 24 et 25 juin 2026 - Troopers
    • 26 et 27 juin 2026 - leHACK
    • 30 juin au 2 juillet 2026 - Pass the SALT
    • 19 septembre 2026 - Bsides Montréal
    • 20 au 26 septembre 2026 - BruCON
    • 13 novembre 2026 - DEATHCon
    • 16 au 19 novembre - European Cyber Week
    • 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
    • 24 et 25 février 2027 - SéQCure 2027
    Description Collaborateurs
    • Nicolas-Loïc Fortin
    • François Labrèche
    • François Proulx
    • Charles F. Hamilton
    • Christian Paquin
    • Philippe Pépos Petitclerc
    Crédits
    • Montage par Intrasecure inc
    • Locaux réels par Northsec
    続きを読む 一部表示
    51 分
  • Spécial - L'IA au service de la cybersécurité - de l'optimisation à la transformation (Cybereco) - Parce que... c'est l'épisode 0x30C!

    Spécial - L'IA au service de la cybersécurité - de l'optimisation à la transformation (Cybereco) - Parce que... c'est l'épisode 0x30C!
    2026/06/17
    Parce que… c’est l’épisode 0x30C! Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode, je reçois Samuel Bonneau, venu présenter Cybereco la transformation profonde que son entreprise — une société de développement logiciel établie depuis quinze ans, qui intègre l’intelligence artificielle depuis huit ans — a opérée au cours de la dernière année. Contrairement à plusieurs entreprises qui se contentent d’un discours marketing autour de l’IA, l’organisation a réellement transformé ses façons de faire en profondeur. D’un objectif de 50 % à un changement de mentalité radical L’histoire débute par un objectif ambitieux fixé aux employés : devenir 50 % plus performants grâce à l’IA, sur une période d’un an. Plusieurs équipes ont dépassé largement cette cible en cours de route, ce qui a mené l’entreprise à revoir entièrement son approche. Samuel illustre ce changement par une analogie automobile : viser 50 % plus de vitesse revient à accélérer davantage avec le même véhicule, alors que viser une multiplication par dix ou vingt force à repenser entièrement le moyen de transport. C’est ce changement de paradigme — un mindset de croissance exponentielle plutôt qu’incrémentale — que l’entreprise a adopté, en parallèle de l’arrivée de modèles et d’outils de codage de plus en plus performants, dont Claude Code, qui a rapidement surpassé les outils utilisés jusque-là. Cette transformation ne s’est pas limitée aux équipes techniques : les ressources humaines, la finance et le reste du back-office ont aussi été intégrés, développant leurs propres flux de travail avec des agents, des compétences (skills) partagées entre équipes, et même de nouveaux outils et plateformes internes. Samuel souligne que la petite taille de l’équipe administrative et une culture d’innovation déjà bien ancrée ont facilité cette adoption, réalisée sur une période de trois à six mois pour la cinquantaine de personnes moins familières avec ces outils. Une urgence stratégique et des risques émergents Samuel explique que ce virage n’était pas optionnel : dans un domaine où l’IA évolue très rapidement, ne pas adopter ces outils aurait signifié perdre en pertinence face à des concurrents capables de développer plus vite et à moindre coût. Ce sentiment d’urgence (« do or die ») a guidé les décisions de l’entreprise. Or, cette accélération massive amène son lot de défis en cybersécurité. Les employés développant leurs propres agents et automatisations utilisent souvent leurs propres identifiants, ce qui peut devenir dangereux si ces agents ne sont pas correctement encadrés. Samuel cite l’exemple de la sandboxing des agents codeurs, un besoin pour lequel peu de solutions matures existaient sur le marché — l’outil le plus prometteur, Nvidia Open Shell, étant encore en préalpha, ce qui illustre bien le décalage entre la rapidité de l’innovation en IA et la maturité des outils de protection. Une plateforme cybersécurité développée à l’interne Face à ce constat, l’équipe a bâti sa propre plateforme de cybersécurité, intégrée à un robot Slack déjà utilisé pour les demandes liées à la sécurité. Cette plateforme analyse automatiquement les demandes d’utilisation d’outils ou de compétences (skills) externes, attribue des scores de risque et permet d’approuver ou de rejeter les requêtes. Plutôt que de gérer cela à travers du code traditionnel, l’équipe travaille désormais par spécifications : il suffit de modifier les spécifications fonctionnelles pour que le système se régénère avec les nouvelles règles, par exemple en ajoutant un critère lié à la localisation des données. L’élément le plus distinctif de cette plateforme est sa capacité à puiser dans toute la documentation interne d’un projet client — transcriptions de réunions, documents de conception, échanges — afin de déterminer automatiquement le niveau de criticité, les enjeux de disponibilité et les risques associés à un système avant même son développement. Cette information alimente ensuite la génération de spécifications de sécurité sur mesure, adaptées au contexte d’affaires réel du client plutôt qu’à des standards génériques. Encadrer les agents : god rails et supervision Une partie importante de l’entretien porte sur la façon de limiter les comportements destructeurs que pourraient avoir des agents autonomes. Samuel explique que chaque agent développé par l’entreprise comporte une douzaine de composantes, dont des mécanismes de garde-fous...
    続きを読む 一部表示
    33 分
  • Le marché dérégulé selon Cyber Citoyen et Polysécure - Parce que... c'est l'épisode 0x30B!

    Le marché dérégulé selon Cyber Citoyen et Polysécure - Parce que... c'est l'épisode 0x30B!
    2026/06/16
    Parce que… c’est l’épisode 0x30B! Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Dans cette 17e collaboration entre les balados Cyber Citoyen et Polysécure, Catherine anime la discussion avec Sam et Nicolas autour de quatre grands thèmes : la surveillance étatique en Russie, les abus du système de surveillance routière Flock, une étude sur les noms de domaine malveillants et le couplage de cette tendance avec le phishing, et enfin une anecdote sur les véhicules de livraison Amazon. Le système Sorm en Russie Sam ouvre l’épisode en présentant le Sorm, un système russe de surveillance des communications téléphoniques et internet datant de 1995. Conçu au départ pour donner au FSB un accès direct aux infrastructures téléphoniques, il a été étendu en 1998 aux fournisseurs d’accès internet, puis intensifié autour des Jeux olympiques de Sochi sous prétexte sécuritaire. Les fournisseurs doivent installer cet équipement à leurs propres frais, ce qui pousse les petits opérateurs à résister, sous peine d’amendes ou de retrait de licence pendant dix ans. Le système permet désormais des recherches par mots-clés et centralise des données extrêmement sensibles : adresses, passeports, coordonnées bancaires, géolocalisation, adresses IP et courriels. Les intervenants soulignent le parallèle avec les pratiques américaines révélées par Snowden, et notent que cette intensification coïncide avec le mécontentement intérieur lié à la guerre en Ukraine. La discussion s’élargit aux blocages d’internet ailleurs (Iran, listes blanches), à la conférence SplinterNet sur la fragmentation du réseau mondial, puis à des tendances similaires dans les démocraties occidentales (Chat Control en Europe, le projet de loi C-2 au Canada, les lois britanniques), illustrant que l’identification obligatoire (numéros de téléphone, cartes SIM, interdiction des téléphones jetables aux États-Unis) n’est pas l’apanage des régimes autoritaires. Nicolas évoque aussi son expérience personnelle en Corée du Sud, où l’identité est systématiquement liée aux services numériques. Le segment se conclut sur l’inquiétude que cette centralisation des données personnelles russes constitue elle-même une cible de choix pour des puissances rivales, et sur le constat plus large d’une incompréhension généralisée des conséquences à long terme de ces choix technologiques. Les dérives du système Flock Nicolas revient ensuite sur Flock, le système de reconnaissance de plaques d’immatriculation, déjà abordé dans un épisode précédent. Grâce au site DeFlock, des citoyens ont découvert que leur plaque avait été recherchée des centaines de fois sans justification : un cas où un policier avait consulté la plaque d’une victime plus de cent fois, et un chef de police pris à espionner sa propre conjointe. La réponse de l’entreprise Flock, qui se targue de transparence plutôt que de reconnaître le problème, est jugée particulièrement maladroite, surtout après la révélation qu’une quarantaine de nouveaux cas d’abus ont été recensés en un seul mois. Les animateurs saluent le rôle du journalisme d’enquête (notamment celui de 404 Media) dans la mise en lumière de ces dérives, et comparent l’absence de garde-fous chez Flock aux systèmes d’alerte automatique utilisés dans les réseaux hospitaliers ou les agences gouvernementales, où une consultation anormale d’un dossier déclenche immédiatement une enquête. Le débat se conclut sur la question de savoir si cette absence de contrôle relève de l’incompétence ou d’un choix délibéré de ne pas investir dans la prévention des abus. Noms de domaine, phishing et marché de la fraude Sam présente ensuite une étude d’Interisle sur les noms de domaine enregistrés en 2025 : sur 85 millions de domaines créés, 8,5 millions ont fini bloqués pour usage frauduleux, soit un plancher d’environ 10 %, probablement plus proche de 15 à 20 % en réalité. Cinq bureaux d’enregistrement concentrent la moitié des domaines bloqués, l’un d’eux affichant un taux de 88 %, souvent via l’enregistrement automatisé en masse de domaines à très bas coût. Le groupe critique l’approche du rapport, trop centrée sur l’autorégulation du marché, alors qu’aucun mécanisme structurel n’empêche ces registraires de continuer leurs pratiques. L’exemple belge du CCB, qui bloque au niveau national les domaines jugés dangereux, est cité comme une approche plus efficace, comparable à une mesure de santé publique. La conversation aborde aussi la difficulté d’agir à l’échelle ...
    続きを読む 一部表示
    1 時間 2 分
adbl_web_anon_alc_button_suppression_t1
まだレビューはありません